内容提要防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。防火墙是指隔离在本地网络与外界网络之间的一道防御系统。
通过防火墙可以隔离风险区域（或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。防火墙嵌入在局域网和连接的网关上
所有从内到外和从外到内的数据都必须通过防火墙（物理上阻塞其它所有访问）
只有符合安全政策的数据流才能通过防火墙确保一个单位内的网络与因特网的通信符合该单位的安全方针，简单地说，就是要为管理人员提供下列问题的答案：
–谁在使用网络？
–他们在网络上做什么？
–他们什么时间使用了网络？
–他们上网去了何处？
–谁试图上网但没有成功？根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。
可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户
防止入侵者接近网络防御设施
限制内部用户访问特殊站点

由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例如等种类相对集中的网络。上的网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行
防火墙能防止非授权用户进入内部网络，有效地对抗外部网络入侵
由于所有的访问都经过防火墙，防火墙成为审计和记录网络的访问和使用的最佳地点，可以方便地监视网络的安全性并报警。
可以作为部署网络地址转换（）的地点，利用技术，可以缓解地址空间的短缺，隐藏内部网的结构。
利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。
防火墙可以作为的平台，可以基于隧道模式实现	。为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。
防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。
不能对内部威胁提供防护支持。
受性能限制，防火墙对病毒传输保护能力弱。
防火墙对用户不完全透明，可能带来传输延迟、性能瓶颈及单点失效。
防火墙不能有效地防范数据内容驱动式攻击。
作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。在构筑防火墙之前,需要制定一套完整有效的安全战略
网络服务访问策略
一种高层次的具体到事件的策略，主要用于定义在网络中允许或禁止的服务。
防火墙安全规则设计策略
一种是“一切未被允许的就是禁止的”，一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好，但是用户所能使用的服务范围受到严格限制。第二种的特点是可以为用户提供更多的服务，但是在日益增多的网络服务面前，很难为用户提供可靠的安全防护。常见的防火墙有三种类型：

分组（包）过滤防火墙；

应用代理防火墙；

状态检测防火墙。分组过滤（）：包过滤；
作用在协议组的网络层和传输层；
根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过；
只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。应用代理（）：也叫应用网关（）；
它作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。
实际中的应用网关通常由专用工作站实现。状态检测（）：

直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。
通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃分组过滤防火墙的工作机制对每个经过的包应用安全规则集合检查，决定是转发或者丢弃该包
过滤包是双向的
过滤规则基于与或包头中字段的匹配（如四元组：源地址、目的地址、源端口、目的端口）
两种缺省策略（丢弃或允许）优点：
简单
对用户透明
高速
缺点：
对于利用特定应用的攻击，防火墙无法防范
配置安全规则比较困难
缺少鉴别，不支持高级用户认证
日志功能有限地址欺骗：丢弃那些从外部接口到达的，但却具有内部地址的包
路由选路攻击：丢弃所有设置该选项的包
微小分片攻击：丢弃协议类型是并且分片标志为1的分片包一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。
第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于协议的数据包都允许通过。
第二条规则：任何主机的20端口访问主机10.1.1.1的任何端口，基于协议的数据包允许通过。
第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于协议的数据包都禁止通过。目前应用比较广泛，既可以作为一个服务器的防火墙系统，也可以作为一个代理服务器软件。以管理员身份安装该